基本内容

病毒别名： 处理时间：2007-03-23 威胁级别：★

中文名称： 病毒类型：黑客程序 影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

该病毒是一个后门程序。运行该病毒会使系统成为ftp服务器。黑客通过病毒上报的系统信息可以完成控制受感染机器。

1、生成的文件

%SystemRoot%\csrss.exe

2、添加启动项

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

"system" = "%SystemRoot%\csrss.exe"

3、修改ie主页

HKCU\Software\Microsoft\Internet Explorer\Main\

"Start Page" = "http://debormammana.***/cgi-bin/tsp/tsout.cgi"

4、将感染机器信息上报到指定服务器，以便黑客通过用户ip地址控制感染机器

http://softwarediscount.***/images/add.php?name=%s&ip1=%s&ftpport=21&ftpuser=qwerty&ftppass=asdf&socks5port=%s&cid=damrai

5、结束指定进程。

6、添加注册表连接端口信息，是机器同时监听5637和21TCP端口

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SOCKSPort

"(Default)" = "0x1605"（5637）